PowerProtect DP-serien: Skyddslagring: Data Domain: Sökväg för kontolösning för säkerhetsansvarig

Summary: PowerProtect DP-serien: Skyddslagring eller Data Domain: Sökväg för kontolösning för säkerhetsansvarig

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Vad är säkerhetsansvarig?

  • En säkerhetsroll-användare som kan kallas säkerhetsansvarig kan hantera andra säkerhetsansvariga, auktorisera processer som kräver godkännande av säkerhetsansvarig, tillhandahålla övervakning av dataförstöring och utföra alla uppgifter som stöds för säkerhetsroll-användare.
  • Säkerhetsrollen tillhandahålls för att följa WORM-förordningen (Write-Once-Read-Many). Den här förordningen kräver att elektroniskt lagrade företagsdata hålls i ett oförändrat, ursprungligt tillstånd för ändamål som e-Discovery, granskning och loggning.
  • I ett typiskt scenario utfärdar en administratörsrollanvändare ett kommando och om godkännande av säkerhetsansvarig krävs visas en uppmaning om godkännande. Säkerhetsansvarig måste ange sitt användarnamn och lösenord på samma konsol som kommandot kördes på för att fortsätta med den ursprungliga uppgiften.
  • Om systemet känner igen inloggningsuppgifterna som säkerhetsansvarig är proceduren auktoriserad. Annars genereras en säkerhetsavisering. 

Syfte:
På grund av efterlevnadsregler kräver de flesta kommandoalternativ för att administrera känsliga operationer inloggningsuppgifter och auktorisering för säkerhetsansvarig (SO).

Nedan följer några exempel på samma sak:
  • SO-inloggningsuppgifter krävs för att komma in i SE-läge (Det finns flera åtgärder som endast kan utföras i SE-läge, till exempel registerändringar. Mer information om kommandon för SE-läge finns i Solve Desktop.)
  • Kryptering
  • Kvarhållningslås
  • Systemlösenfras 
  • Aktivera FIPS
  • Filsystemet förstör
  • Cloud Tier Destroy, och så vidare
Mer information om åtgärder som kräver säkerhetsinloggningsuppgifter finns i DD OS-administrationsmanualen för respektive operativsystem från SolVe Desktop.


Så här skapar du en säkerhetsansvarig:
  • Om du vill skapa det första SO-kontot (Security Officer) följer du nedanstående Dell KB-artikel 198128 för att skapa kontot från ACM:

PowerProtect DP-serien: Skyddslagring: Varning! Användarkonto för säkerhetsansvarig måste skapas.


Riktlinjer:

  • Om säkerhetsansvarig skapas direkt från Data Domain och inte från ACM aktiveras inte säkerhetsbehörighet automatiskt.
  • För att aktivera auktoriseringspolicyn måste en säkerhetsansvarig logga in eller SSH-ansluta till Data Domain och aktivera auktoriseringspolicyn enligt nedan.
Sec_Officer01@dd4400>authorization policy show 
Sec_Officer01@dd4400>authorization policy set security-officer enabled
Sec_Officer01@dd4400>authorization policy show
  • Efter att den första säkerhetsansvarige har skapats kan endast en säkerhetsansvarig skapa ett annat säkerhetsansvarigt konto.


Problem med säkerhetsansvarigkonto:

  • I fall där det finns en säkerhetsansvarig men inte kan logga in på grund av ett låst säkerhetsanvändarkonto eller ett lösenord som har tappats bort, glömts bort eller upphört att gälla måste nedanstående steg följas i följd.

 

Alternativ 1:

Logga in på DDR med ett användarkonto som har administratörsbehörighet, till exempel "sysadmin", och kör kommandot nedan för att ta reda på rätt användarnamn för säkerhetsrollen:

# user show list

 

Öppna en annan SSH-session till Data Domain och logga in med en SO-användare (Security Officer). Om lösenordet har upphört att gälla uppmanas du automatiskt att ange ett nytt lösenord.

 

Alternativ 2:

Om ovanstående inte är fallet kan du försöka logga in med ett standardlösenord eller vanligt lösenord för IDPA.
Om det är vad som angavs när Security Officer-användaren skapades, skulle det fungera.
Not: Från IDPA 2.7 finns det hårda krav på att inte ange sSecurity Officer lösenord samma som vanligt lösenord. Ovanstående kan dock användas för tidigare versioner.

 

Alternativ 3

Om problemet kvarstår kontrollerar du om det finns någon annan säkerhetsansvarig användare i utdata från kommandot "user show list" som kördes tidigare. Endast en annan säkerhetsanvändare, om en sådan finns, har behörighet att ändra eller låsa upp det låsta säkerhetsansvariga kontot.

Om det finns ett annat SO-konto (Security Officer) gör du följande enligt kraven:

  • Om du vill byta lösenord:

Logga in eller SSH-anslut till Data Domain med det andra SO-användarnamnet och använd kommandot nedan för att ändra lösenordet:

# user change password [< SO username>]

 

  • Om kravet är att endast låsa upp kontot:
Kontakta Dells support om kontot är låst på grund av för många misslyckade inloggningsförsök. 

Obs!

  • Säkerhetsansvariges användarkonto låses efter tre misslyckade inloggningsförsök. Detta är i överensstämmelse med STIG.
  • När säkerhetstjänstemannens användarkonto är låst MÅSTE användaren vänta på timeout för upplåsning (standard 120 sekunder) för att logga in igen.
sysadmin@DD# adminaccess option show
Option                 Value
--------------------   --------
login-unlock-timeout   120
login-max-attempts     3
..
…..
--------------------   --------

 

  • Viktigt! Förvara inloggningsuppgifterna som säkerhetsansvarig på ett säkert sätt och ändra lösenordet innan det upphör att gälla, eftersom endast en annan säkerhetsansvarig (om det finns en sådan) har behörighet att ändra eller återställa ett säkerhetsansvarigt konto. Endast en befintlig säkerhetsansvarig kan skapa ett annat säkerhetsansvarigt konto.

Affected Products

Data Domain, PowerProtect Data Protection Appliance
Article Properties
Article Number: 000198715
Article Type: How To
Last Modified: 04 Feb 2025
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.